Augen auf für Bedrohungen jenseits von Ransomware
Warum man bei der Abwehr von Ransomware nicht nur auf Ransomware-Attacken schauen sollte, erläutert Pieter Arntz, Malware-Analyst bei Malwarebytes
Ransomware-Attacken sorgen immer wieder für Schlagzeilen und dominieren in den letzten Jahren die Diskussionen rund um Cybersicherheit. Dabei geraten eine Reihe anderer Bedrohungen der IT-Sicherheit und Cybersecurity-Trends in den Hintergrund, die mehr Aufmerksamkeit verdienen. Einige der im Folgenden zu besprechenden Punkte können im Zusammenhang mit Ransomware relevant werden, sind aber grundsätzlich unabhängig von Erpressungssoftware.
Bekannte Sicherheitslücken
Sicherheitsexperten können häufig nur den Kopf schütteln, wenn sie die Ursachen von Datendiebstählen untersuchen oder die IT-Sicherheit eines Unternehmens in Form eines Penetrationstests auf die Probe stellen: nicht selten finden sie Sicherheitslücken, die seit Monaten oder gar Jahren bekannt, aber noch immer nicht behoben sind. Das gilt keineswegs nur für Software-Produkte, die unzureichend gepatcht sind. Noch verblüffender ist, dass bekannte Schwachstellen in Netzwerkapparaten, IT-Unsicherheit ab Werk sozusagen, oft nicht behoben werden.
Ein prominentes Beispiel ist eine bekannte Schwachstelle in der Pulse Connect Secure (PCS) SSL-VPN-Appliance, einem Netzwerkgerät, das ironischerweise durch Verschlüsselung von Datenströmen für mehr Sicherheit sorgen soll. Cyberkriminellen war es gelungen Schadsoftware auf Pulse Secure-Geräten zu installieren, um Anmeldedaten zu stehlen und Zugang zu kompromittierten Netzwerken zu erhalten. Bevor die Sicherheitslücke vom Hersteller gestopft wurde, war es Hackern sogar gelungen, die internen Netzwerke von US-Verteidigungsunternehmen und Regierungsbehörden zu kompromittieren. Inzwischen aber ist Abhilfe längst verfügbar und dennoch finden sich in vielen Organisationen noch immer die Appliances mit offengelegter Sicherheitslücke.
IT-Abteilungen sollten sich auch keineswegs dem Irrglauben hingeben, dass die großen, bekanntesten Hersteller ihnen höhere Sicherheit bieten. Auch die Router des Marktführers Cisco fallen beispielsweise immer wieder durch Sicherheitslücken auf, die es umgehend zu beheben gilt.
Hintertüren
Neben den bekannten Schwachstellen in Netzwerkgeräten sollte die IT-Abteilung auch den nicht bekannten bzw. nicht offiziell zugestandenen Sicherheitslücken ihre Aufmerksamkeit widmen. Viele Hersteller bauen in ihre Geräte „Back Doors“ ein, über die sie auf Abstand und gegebenenfalls ohne Wissen der Anwender auf ihre Geräte und die angeschlossenen Netzwerke zugreifen können. Oft werden Hersteller auch von den Regierungen im Land der Unternehmenszentrale zum Einbau solcher Hintertüren verpflichtet, die es den Geheimdiensten des jeweiligen Landes erlauben, durch die Hintertüren in Netzwerke von Unternehmen und Behörden einzudringen. Insbesondere chinesischen, aber auch US-amerikanischen Herstellern wird immer wieder der Einbau solcher Hintertüren vorgeworfen, die im übrigen auch Cyberkriminellen als Einfallstor dienen können. Letztlich sollte die IT-Abteilung also bereits bei der Herstellerwahl den Sicherheitsaspekt einbeziehen und sich garantieren lassen, dass die fraglichen Produkte keine Hintertüren enthalten. Viele deutsche Behörden machen eine solche Garantie inzwischen zum Bestandteil ihrer Ausschreibungen.
Falsche Freunde
Eine beliebte Methode von Cyberkriminellen, um sich Zugang zum Netzwerk ihres Opfers zu verschaffen, besteht in der Benutzung von Sicherheits-Tools für ihre Zwecke. Das perfide an dieser Methode ist, dass es sich um bekannte, weithin genutzte Tools handelt, deren Aktivitäten darum häufig von den Sicherheitsmechanismen eines Unternehmens nicht entdeckt werden. Besonders populär bei Hackern ist ein Tool namens „Cobalt Strike“. Der Eintrag in Wikipedia bringt dessen legale und illegale Funktionsweisen gut auf den Punkt: „Cobalt Strike ist eine Software mit flexiblen Funktionen, um Wirtschaftsspionage auf dem eigenen Netzwerk zu simulieren, Abwehrmaßnahmen zu testen und die eigene Computersicherheit zu erhöhen. Es wird aber auch häufig von echten Angreifern wie APT-Gruppen oder Ransomware-Gangs verwendet. Zum Funktionsumfang gehören die Angriffs-Aufklärung, das Eindringen, das Errichten eines stabilen Zugangs mit einer soliden Operationsbasis im Netz des Opfers sowie der anschließende Diebstahl von Daten.“ Gegen die illegale Nutzung von Sicherheits-Tools kann sich ein Unternehmen am besten durch den Einsatz oft frei verfügbarer Lösungen schützen, die bei Experten unter Akronymen wie „SIEM“, „YARA“ oder „SNORT“ bekannt sind.
RDP-Angriffe
RDP-Angriffe haben in der Pandemie aufgrund des Homeoffice-Booms stark zugenommen. RDP steht für „Remote Desktop Protocol“. Es handelt sich um ein von Microsoft entwickeltes Kommunikationsprotokoll, mit dem ein Benutzer eine Verbindung zu einem entfernten Windows-Computer oder -Server herstellen kann. Die Verbindung wird standardmäßig über Port 3389 aufgebaut und über ein Passwort gesichert. Für Cyberkriminelle ist der Zugriffsort also einfach zu identifizieren; nur das Passwort steht zwischen ihnen und dem Netzwerkzugang. Durch die enorme Verbreitung des RDP ist es für Hacker zusätzlich attraktiv. Oft sind ihre RDP-Angriffe mit einfacher, roher Rechenkraft (Brute-Force-Methode) erfolgreich. Sie bombardieren die Schnittstelle mit Millionen von Passwörtern pro Minute und verschaffen sich so Zugriff. Dass die meisten Anwender bei der Wahl ihrer Passwörter wenig Fantasie walten lassen, erschwert ihnen die Sache nicht eben. Hauptproblem des RDP-Protokolls ist allerdings, dass sich der Zugang überhaupt durch bloße Rechenkraft erzwingen lässt und nicht nach einigen missglückten Versuchen gesperrt wird, wie wir es z.B. vom Online-Banking oder unserem Webmail-Konto kennen. Bei Aktivierung des Protokolls erlaubt die Grundeinstellung beliebig viele Versuche der Passworteingabe. Die IT-Abteilung muss diese Möglichkeit explizit deaktivieren. Das ist sehr simpel, wird aber häufig übersehen oder vergessen. Ein kleiner Fehler, der schwerwiegende Folgen haben kann.
Der menschliche Faktor
Bereits im vorangehenden Absatz wurde auf mangelnde Fantasie von Mitarbeitern bei der Wahl ihrer Passwörter erwähnt. Allgemein sind die Menschen einer Organisation der entscheidende Faktor für ihre IT-Sicherheit oder -Unsicherheit. Die besten technischen Maßnahmen können nichts gegen Cyberkrimelle ausrichten, wenn Angestellte ihre Passwörter nicht sorgfältig wählen oder gar unbedarft an Dritte weitergeben. Eine gute Schulung der Mitarbeiter ist darum zentraler Bestandteil jeder guten IT-Sicherheitsstrategie.
Als Teil der Schulung müssen die Mitarbeiter verstehen, wie wichtig sichere Passwörter sind und wie sie auszusehen haben. Ein entscheidender Grund, warum viele Mitarbeiter sich keine Mühe bei der Erstellung ihrer Passwörter geben und darüber hinaus vielfach dasselbe Passwort für verschiedene Anwendungen und Konten nutzen, ist die vermeintliche Notwendigkeit Passwörter häufig zu wechseln. Diese Anforderung kann die Verwendung sicherer Passwörter zugegebenermaßen zur mnemotechnischen Herausforderung machen. Glücklicherweise ist ein Wechsel der Passwörter nach neueren Erkenntnissen gar nicht erforderlich. Wichtig ist lediglich, dass ein Passwort möglichst lang und komplex ist und sich nicht in gängigen Lexika finden lässt, die für Brute Force-Angriffe herangezogen werden.
Das zweite wesentliche Thema der Mitarbeiterschulung ist Phishing. Als „Phishing“ bezeichnet man Versuche Cyberkrimineller, sich über digitale Kommunikationsmittel als vertrauenswürdiger Partner auszugeben, um beispielsweise an persönliche Daten des Opfers zu gelangen oder es zur Ausführung einer Tat zu bewegen, die dem Cyberkriminellen zugutekommt. Mitarbeiter müssen lernen Phishing-Versuche zu erkennen und der IT-Abteilung zu melden. Das wird zunehmend schwierig, weil Cyberkriminelle viel besser darin geworden sind, offizielle Kommunikationsformen sprachlich und im Aussehen nachzuahmen. Die Zeiten schlecht übersetzter, holpriger Phishing-E-Mails sind vorbei. Allerdings ist auch zu beachten, dass Cyberkriminelle häufig informelle Wege der Kommunikation wie Social Media für Phishing einsetzen. Mir sind schon häufiger derartige Fälle untergekommen. Zuweilen geben die Opfer via Social Media sogar die Fragen und Antworten preis, die ihnen das Zurücksetzen ihrer Passwörter erlauben. Da die Cyberkriminellen also ihre Maschen fortlaufend weiterentwickeln, müssen die IT-Sicherheitsschulungen für das Personal regelmäßig aufgefrischt werden.
Jenseits von Ransomware
Die behandelten Themen bieten einen Querschnitt im Bereich IT-Sicherheit jenseits der Fixierung auf Ransomware. Alle genannten Schwachstellen und Probleme können auch als Basis für Ransomware-Angriffe genutzt werden und sollten deshalb vorrangig betrachtet werden, will man Ransomware ebenso bekämpfen wie Datendiebstahl oder Spionage. 100prozentige IT-Sicherheit kann es nicht geben, aber wer die erwähnten Sicherheitsmaßnahmen sorgfältig umsetzt, macht sich damit deutlich weniger leicht angreifbar als viele andere Unternehmen und somit zu einem viel weniger attraktiven Ziel Cyberkrimineller. Schließlich gehen diese gerne den Weg des geringsten Widerstands.
Weitere Informationen unter:
https://de.malwarebytes.com/